KR101052443B1 - Malware Analysis Method and System - Google Patents

Malware Analysis Method and System Download PDF

Info

Publication number
KR101052443B1
KR101052443B1 KR1020090042555A KR20090042555A KR101052443B1 KR 101052443 B1 KR101052443 B1 KR 101052443B1 KR 1020090042555 A KR1020090042555 A KR 1020090042555A KR 20090042555 A KR20090042555 A KR 20090042555A KR 101052443 B1 KR101052443 B1 KR 101052443B1
Authority
KR
South Korea
Prior art keywords
link information
web page
malicious
page source
link
Prior art date
Application number
KR1020090042555A
Other languages
Korean (ko)
Other versions
KR20100123368A (en
Inventor
박태형
허영일
Original Assignee
주식회사 엔에스에이치씨
인포뱅크 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엔에스에이치씨, 인포뱅크 주식회사 filed Critical 주식회사 엔에스에이치씨
Priority to KR1020090042555A priority Critical patent/KR101052443B1/en
Publication of KR20100123368A publication Critical patent/KR20100123368A/en
Application granted granted Critical
Publication of KR101052443B1 publication Critical patent/KR101052443B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • G06F11/3604Software analysis for verifying properties of programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/10Requirements analysis; Specification techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/448Execution paradigms, e.g. implementations of programming paradigms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Business, Economics & Management (AREA)
  • Signal Processing (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Tourism & Hospitality (AREA)
  • Health & Medical Sciences (AREA)
  • Quality & Reliability (AREA)
  • Economics (AREA)
  • Human Resources & Organizations (AREA)
  • Marketing (AREA)
  • Primary Health Care (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Virology (AREA)
  • Computing Systems (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

웹서버로부터 웹페이지 소스를 다운로드하는 다운로드부, 상기 다운로드한 웹페이지 소스로부터 링크정보를 수집하는 수집부, 및 상기 수집된 링크정보에 기초하여 상기 웹페이지 소스에 악성코드가 포함되어 있는지 판단하는 판단부를 포함하는 악성코드 분석 시스템을 제공한다.A determination unit for determining whether malicious code is included in the web page source based on a download unit downloading a web page source from a web server, a collecting unit collecting link information from the downloaded web page source, and the collected link information Provides a malicious code analysis system including a wealth.

웹페이지, 링크정보, 악성코드, 링크개수, 악성 링크 패턴, 악성 스트링 Web page, link information, malicious code, link count, malicious link pattern, malicious string

Description

악성코드 분석 방법 및 시스템{SYSTEM AND METHOD FOR ANALYZING MALICIOUS CODE}Malware analysis method and system {SYSTEM AND METHOD FOR ANALYZING MALICIOUS CODE}

본 발명은 악성코드 분석 방법 및 시스템에 관한 것이다.The present invention relates to a method and system for analyzing malware.

통신기술의 발달로 인해, 종래에는 가맹점마다 직접 찾다 다니며 수행해야했던 일을 이제는 컴퓨터를 이용하여 가맹점 서버에 접속함으로써, 원하는 서비스를 이용할 수 있게 되었다. 예컨대, 사용자는 금융사 서버에 접속하여 원하는 금융거래를 수행하거나, 쇼핑몰 서버에 접속하여 원하는 상품을 구매할 수 있게 되었다.Due to the development of communication technology, it is now possible to use a desired service by accessing a merchant server by using a computer to perform a task that has conventionally been performed by each merchant. For example, a user may access a financial company server to perform a desired financial transaction or may access a shopping mall server to purchase a desired product.

그러나, 가맹점 서버에 접속하여 서비스를 이용하는 경우, 이름, 주민번호, 연락처, 주소를 포함하는 사용자의 개인정보를 등록해야 하는데, 이러한 사용자의 개인정보가 외부로 유출될 위험이 높다는 문제점이 있다. 최근에는 인터넷 뱅킹 시, 입력하는 인증코드나 공인인증서의 비밀번호까지 해킹하여 사용자 몰래 사용자의 예금통장에서 돈을 인출해가는 사례가 늘고 있어, 그에 대한 적절한 보안 방법이 시급한 실정이다.However, when accessing a merchant server to use a service, a user's personal information including a name, a social security number, a contact number, and an address must be registered, but there is a problem in that the personal information of the user is high. Recently, in the case of Internet banking, the number of cases of withdrawing money from the user's bank account by hacking the authentication code or the certificate of the authentication certificate entered is urgent, and an appropriate security method is urgently needed.

일반적으로 인터넷을 통한 서비스 이용 시, 서비스 이용에 필요한 프로그램을 컴퓨터에 다운로드하거나, 웹페이지 구성에 필요한 웹페이지 소스를 컴퓨터에 다운 로드한다. 이때, 프로그램 또는 웹페이지 소스에 악성코드가 포함되어 있는 경우, 사용자도 모르는 사이에 악성코드가 컴퓨터로 다운로드되어, 사용자의 개인정보를 외부에 노출되게 할 수 있다.In general, when using a service through the Internet, a program necessary to use the service is downloaded to a computer, or a web page source necessary for constructing a web page is downloaded to the computer. In this case, when the malicious code is included in the source of the program or the web page, the malicious code may be downloaded to the computer without the user's knowledge, and the user's personal information may be exposed to the outside.

따라서, 인터넷을 통한 서비스 이용 시, 컴퓨터로 다운로드되는 웹페이지 소스에 악성 코드가 포함되어 있는지 분석하여, 적절히 대응하는 방안이 필요한 실정이다.Therefore, when using a service through the Internet, it is necessary to analyze the malicious code in the web page source downloaded to the computer, and to respond appropriately.

본 발명의 일실시예는 서로 다른 시점에 동일한 URL을 갖는 두 개의 웹페이지 소스로부터 각각 링크정보를 수집하여, 수집한 두 개의 링크정보가 서로 상이한 경우, 상기 두 개의 웹페이지 소스 중 어느 하나에 악성코드가 포함되어 있는 것으로 판단함으로써, 웹페이지 소스에 악성코드가 포함되어 있는지 용이하게 판단할 수 있는 악성코드 분석 방법 및 시스템을 제공한다.An embodiment of the present invention collects link information from two web page sources having the same URL at different time points, and when the collected two link informations are different from each other, it is malicious to any one of the two web page sources. By determining that the code is included, the present invention provides a method and system for analyzing malicious codes that can easily determine whether malicious code is included in a web page source.

본 발명의 일실시예에 따른 악성코드 분석 시스템은 웹서버로부터 웹페이지 소스를 다운로드하는 다운로드부, 상기 다운로드한 웹페이지 소스로부터 링크정보를 수집하는 수집부, 및 상기 수집된 링크정보에 기초하여 상기 웹페이지 소스에 악성코드가 포함되어 있는지 판단하는 판단부를 포함한다.The malware analysis system according to an embodiment of the present invention includes a download unit for downloading a web page source from a web server, a collecting unit for collecting link information from the downloaded web page source, and the collected link information based on the collected link information. It includes a determination unit that determines whether malicious code is included in the web page source.

또한, 본 발명의 일실시예에 따른 다운로드부는 웹서버로부터 제1 시점에 제1 웹페이지 소스를 다운로드하고, 상기 제1 시점과 상이한 제2 시점에 상기 제1 웹페이지 소스와 연관된 제2 웹페이지 소스를 다운로드한다.In addition, the download unit according to an embodiment of the present invention downloads the first web page source from the web server at a first point in time, and a second web page associated with the first web page source at a second point in time different from the first point in time. Download the source.

또한, 본 발명의 일실시예에 따른 수집부는 다운로드한 제1 웹페이지 소스로부터 제1 링크정보를 수집하고, 상기 다운로드한 제2 웹페이지 소스로부터 제2 링크정보를 수하고, 판단부는 상기 제1 링크정보와 상기 제2 링크정보를 비교하고, 상기 비교결과, 상기 제1 링크정보와 상기 제2 링크정보가 상이한 경우, 상기 제1 웹페이지 소스 또는 상기 제2 웹페이지 소스에 악성코드가 포함된 것으로 판단한 다.In addition, the collector according to an embodiment of the present invention collects the first link information from the downloaded first webpage source, and receives the second link information from the downloaded second webpage source, the determination unit is the first Comparing the link information and the second link information, if the first link information and the second link information is different, the malicious code is included in the first web page source or the second web page source. Judging by it.

또한, 본 발명의 일실시예에 따른 판단부는 제1 웹페이지 소스로부터 수집한 제1 링크정보에 포함된 제1 링크개수와 제2 웹페이지 소스로부터 수집한 제2 링크정보에 포함된 제2 링크개수를 비교한다.In addition, the determination unit according to an embodiment of the present invention, the first link number included in the first link information collected from the first webpage source and the second link included in the second link information collected from the second webpage source. Compare the numbers.

또한, 본 발명의 일실시예에 따른 판단부는 (1)제1 내부 링크정보와 제2 내부 링크정보가 상이한 경우, 제1 웹페이지 소스 또는 제2 웹페이지 소스에 악성코드가 포함된 것으로 판단하고, 또는 (2)제1 외부 링크정보와 제2 외부 링크정보가 상이한 경우, 제1 웹페이지 소스 또는 제2 웹페이지 소스에 악성코드가 포함된 것으로 판단한다.In addition, the determination unit according to an embodiment of the present invention (1) when the first internal link information and the second internal link information is different, it is determined that the malicious code is included in the first web page source or the second web page source and Or (2) When the first external link information and the second external link information are different, it is determined that the malicious code is included in the first web page source or the second web page source.

또한, 본 발명의 일실시예에 따른 데이터베이스는 악성 링크 패턴을 저장하고, 판단부는 상기 수집된 링크정보가 상기 저장된 악성 링크 패턴에 포함되는 경우, 상기 웹페이지 소스에 악성코드가 포함된 것으로 판단한다.In addition, the database according to an embodiment of the present invention stores a malicious link pattern, and the determination unit determines that the malicious code is included in the web page source when the collected link information is included in the stored malicious link pattern. .

또한, 본 발명의 일실시예에 따른 판단부가 웹페이지 소스에 악성코드가 포함된 것으로 판단한 경우, 악성 스트링 수집부는 상기 악성코드가 포함된 링크정보로부터 악성 스트링을 수집하고, 데이터베이스는 상기 수집된 악성 스트링을 저장한다.In addition, when the determination unit according to an embodiment of the present invention determines that the malicious code is included in the web page source, the malicious string collection unit collects a malicious string from the link information containing the malicious code, the database is the collected malicious Save the string.

또한, 본 발명의 일실시예에 따른 악성코드 분석 방법은 웹서버로부터 웹페이지 소스를 다운로드하는 단계, 상기 다운로드한 웹페이지 소스로부터 링크정보를 수집하는 단계, 및 상기 수집된 링크정보에 기초하여 상기 웹페이지 소스에 악성코드가 포함되어 있는지 판단하는 단계를 포함한다.In addition, the malware analysis method according to an embodiment of the present invention includes the steps of downloading a web page source from a web server, collecting link information from the downloaded web page source, and based on the collected link information Determining whether the web page source contains malicious code.

본 발명의 일실시예에 따르면, 동일한 URL을 갖는 두 개의 웹페이지 소스로부터 수집된 링크정보에 기초하여 상기 두 개의 웹페이지 소스에 악성코드가 포함되어 있는지 용이하게 판단할 수 있다.According to an embodiment of the present invention, based on link information collected from two web page sources having the same URL, it is easy to determine whether malicious code is included in the two web page sources.

본 발명의 일실시예에 따르면, 웹페이지 소스로부터 수집된 링크정보가 사전에 설정된 악성 링크 패턴에 포함되는지 확인하여, 상기 웹페이지 소스에 악성코드가 포함되어 있는 경우, 관리자에게 통보할 수 있다.According to an embodiment of the present invention, by checking whether link information collected from a web page source is included in a preset malicious link pattern, and when malicious code is included in the web page source, an administrator may be notified.

본 발명의 일실시예에 따르면, 악성코드가 포함된 링크정보로부터 악성 스트링을 수집함으로써, 수집된 악성 스트링을 이용하여 이후, 다운로드되는 웹페이지 소스에 악성코드가 포함되어 있는지 판단할 수 있다.According to an embodiment of the present invention, by collecting a malicious string from the link information containing the malicious code, it is possible to determine whether the malicious code is included in the web page source to be downloaded using the collected malicious string.

이하, 첨부 도면들 및 첨부 도면들에 기재된 내용들을 참조하여 본 발명의 다양한 실시예를 상세하게 설명하지만, 본 발명이 실시예에 의해 제한되거나 한정되는 것은 아니다.Hereinafter, various embodiments of the present invention will be described in detail with reference to the accompanying drawings and accompanying drawings, but the present invention is not limited to or limited by the embodiments.

도 1은 본 발명의 일실시예에 따른 악성코드 분석 시스템의 구성을 도시한 블록도이다.1 is a block diagram showing the configuration of a malicious code analysis system according to an embodiment of the present invention.

도시한 바와 같이, 본 발명의 일실시예에 따른 악성코드 분석 시스템(100)은 다운로드부(110), 수집부(120), 판단부(130), 데이터베이스(140), 및 악성 스트링 수집부(150)를 포함한다.As shown, the malware analysis system 100 according to an embodiment of the present invention is a download unit 110, the collection unit 120, the determination unit 130, the database 140, and the malicious string collection unit ( 150).

다운로드부(110)는 웹서버로부터 웹페이지 소스를 다운로드한다. 여기서, 웹서버는 사용자가 요청한 웹페이지를 휴대폰(Cellular Phone) 또는 컴퓨터(Computer)로 제공하는 서버를 통칭한다. 상기 웹페이지 소스는 웹페이지 구성에 필요한 소스로서, 예컨대, html, java script, css 형식의 파일을 포함한다.The download unit 110 downloads a web page source from a web server. Here, the web server generally refers to a server that provides a web page requested by a user to a cellular phone or a computer. The web page source is a source necessary for constructing a web page, and includes, for example, a file of html, java script, or css format.

본 발명의 일실시예로, 다운로드부(110)는 상기 웹서버로부터 제1 시점에 제1 웹페이지 소스를 다운로드하고, 상기 제1 시점과 상이한 제2 시점에 상기 제1 웹페이지 소스와 연관된 제2 웹페이지 소스를 다운로드할 수 있다. In one embodiment of the present invention, the download unit 110 downloads the first web page source from the web server at a first point in time, and is associated with the first web page source at a second point in time different from the first point in time. 2 You can download the web page source.

상기 제1 시점은 상기 제1 웹페이지 소스를 다운로드하는 시점으로서, 예컨대, '09.04.30, 17:55'일 수 있다. 상기 제2 시점은 상기 제1 시점과는 상이한 시점으로서, 상기 제1 시점 이후의 시점일 수 있다. 예컨대, 상기 제1 시점이 '09.04.30, 17:55' 인 경우, 상기 제2 시점은 '09.04.30, 18:00'일 수 있다.The first time point is a time point for downloading the first web page source and may be, for example, '09 .04.30, 17:55 '. The second time point may be a time point different from the first time point, and may be a time point after the first time point. For example, when the first time point is '09 .04.30, 17:55 ', the second time point may be '09 .04.30, 18:00'.

상기 제1 웹페이지 소스와 상기 제2 웹페이지 소스는 동일한 URL을 갖는 웹페이지 소스로서, 상기 웹서버로부터 다운로드하는 시점이 다르다는 것이 차이점이다. 예컨대, 다운로드부(110)는 'http://www.target.com/index.htm' 라는 URL을 갖는 웹페이지 소스를 주기적으로 다운로드하고, 먼저 다운로드한 웹페이지 소스를 제1 웹페이지 소스, 다음에 다운로드한 웹페이지 소스를 제2 웹페이지 소스라 한다.The difference between the first webpage source and the second webpage source is a webpage source having the same URL, and the time point of downloading from the web server is different. For example, the download unit 110 periodically downloads a webpage source having a URL of 'http://www.target.com/index.htm', and firstly downloads the downloaded webpage source into a first webpage source, and then The web page source downloaded to the second web page source is called.

수집부(120)는 상기 다운로드한 웹페이지 소스로부터 링크정보를 수집한다. 상기 링크정보는 상기 웹페이지 소스에 포함된 링크들에 대한 정보이다. 수집부(120)는 상기 수집된 링크정보를 데이터베이스(140)에 저장할 수 있다.The collection unit 120 collects link information from the downloaded web page source. The link information is information about links included in the web page source. The collector 120 may store the collected link information in the database 140.

본 발명의 일실시예로, 수집부(120)는 상기 다운로드한 제1 웹페이지 소스 로부터 제1 링크정보를 수집하고, 상기 다운로드한 제2 웹페이지 소스로부터 제2 링크정보를 수집한다. 즉, 상기 제1 웹페이지 소스와 상기 제2 웹페이지 소스는 동일한 URL을 갖지만, 서로 다른 시점에 다운로드되었으므로, 포함된 링크정보도 다를 수 있다. 따라서, 수집부(120)는 제1, 제2 웹페이지 소스로부터 각각 제1, 제2 링크정보를 수집할 수 있다.In an embodiment of the present invention, the collection unit 120 collects first link information from the downloaded first webpage source and collects second link information from the downloaded second webpage source. That is, the first webpage source and the second webpage source have the same URL, but since they were downloaded at different times, the included link information may be different. Accordingly, the collection unit 120 may collect the first and second link information from the first and second web page sources, respectively.

판단부(130)는 상기 수집된 링크정보에 기초하여 상기 웹페이지 소스에 악성코드가 포함되어 있는지 판단한다.The determination unit 130 determines whether malicious code is included in the web page source based on the collected link information.

본 발명의 일실시예로, 판단부(130)는 상기 제1 링크정보와 상기 제2 링크정보를 비교하고, 상기 비교결과, 상기 제1 링크정보와 상기 제2 링크정보가 상이한 경우, 상기 제2 웹페이지 소스에 악성코드가 포함된 것으로 판단할 수 있다. 예컨대, 판단부(130)는 상기 제1 링크정보에 포함된 제1 링크개수와 상기 제2 링크정보에 포함된 제2 링크개수가 상이한 경우, 상기 제2 웹페이지 소스에 악성코드가 포함된 것으로 판단할 수 있다.In one embodiment of the present invention, the determination unit 130 compares the first link information and the second link information, and when the comparison result, the first link information and the second link information is different, the first 2 It can be determined that malicious code is included in the web page source. For example, when the number of first links included in the first link information is different from the number of second links included in the second link information, the determination unit 130 includes malicious code in the source of the second web page. You can judge.

이하에서는 도 2를 참조하여 설명한다.A description with reference to FIG. 2 is as follows.

도 2는 본 발명의 일실시예에 따른 악성코드 분석 시스템에서 웹페이지 소스에 악성코드가 포함되어 있는지 판단하는 일례를 도시한 도면이다.2 is a diagram illustrating an example of determining whether a malicious code is included in a web page source in a malicious code analysis system according to an exemplary embodiment of the present invention.

도시한 바와 같이, 수집부(120)는 제1 웹페이지 소스(210)와 제2 웹페이지 소스(220)로부터 제1, 제2 링크정보를 수집할 수 있다. 예컨대, 상기 제1 링크정보는 제1 내부 링크정보, 제1 외부 링크정보를 포함하고, 상기 제2 링크정보는 제2 내부 링크정보, 제2 외부 링크정보를 포함할 수 있다. 여기서, 상기 제1, 제2 내 부 링크정보는 '제1, 제2 내부 링크개수'이고, 상기 제1, 제2 외부 링크정보는 '제1, 제2 외부 링크개수'로 해석될 수 있다.As shown, the collection unit 120 may collect the first and second link information from the first webpage source 210 and the second webpage source 220. For example, the first link information may include first internal link information and first external link information, and the second link information may include second internal link information and second external link information. Here, the first and second internal link information may be interpreted as 'first and second internal link counts', and the first and second external link information may be interpreted as 'first and second external link counts'. .

이에 따라, 판단부(130)는 제1 내부 링크개수와 제2 내부 링크개수를 비교하고, 제1 외부 링크개수와 제2 외부 링크개수를 비교함으로써, 제1 웹페이지 소스(210) 또는 제2 웹페이지 소스(220)에 악성코드가 포함되어 있는지 판단할 수 있다. 예컨대, 상기 제1, 제2 내부 링크개수는 '4개'로 동일하고, 상기 제1, 제2 외부 링크개수는 '7개'로 동일한 경우, 판단부(130)는 제1 웹페이지 소스(210) 또는 제2 웹페이지 소스(220)에 악성코드가 포함되어 있지 않은 것으로 판단할 수 있다.Accordingly, the determination unit 130 compares the number of first internal links and the number of second internal links, and compares the number of first external links and the number of second external links, thereby providing the first web page source 210 or the second. It may be determined whether malicious code is included in the web page source 220. For example, when the number of the first and second internal links is the same as '4', and the number of the first and the second external links is the same as '7', the determination unit 130 may determine the first webpage source ( 210 or the second web page source 220 may be determined to contain no malicious code.

그러나, 제1 웹페이지 소스(230)로부터 수집한 제1 링크정보와, 제2 웹페이지 소스(240)로부터 수집한 제2 링크정보가 상이한 경우, 판단부(130)는 제1 웹페이지 소스(230) 또는 제2 웹페이지 소스(240)에 악성코드가 포함된 것으로 판단할 수 있다. 즉, 제1, 제2 웹페이지 소스(230, 240)으로부터 수집된 제1, 제2 내부 링크개수는 '4개'로 동일하지만, 제1 웹페이지 소스(230)로부터 수집한 제1 외부 링크개수는 '7개', 제2 웹페이지 소스(240)로부터 수집한 제2 외부 링크개수는 '9개'로 상이하다. 이 경우, 판단부(130)는 제1 웹페이지 소스(230) 또는 제2 웹페이지 소스(240)에 악성코드가 포함된 것으로 판단할 수 있다.However, when the first link information collected from the first webpage source 230 and the second link information collected from the second webpage source 240 are different, the determination unit 130 may determine the first webpage source ( 230) or the second web page source 240 may be determined to include malicious code. That is, the number of first and second internal links collected from the first and second web page sources 230 and 240 is the same as 'four', but the first external links collected from the first web page source 230 The number is different from '7' and the number of second external links collected from the second webpage source 240 is '9'. In this case, the determination unit 130 may determine that the malicious web is included in the first web page source 230 or the second web page source 240.

도면에서는 제1 웹페이지 소스(230)보다 제2 웹페이지 소스(240)의 링크개수가 증가하였으므로, 판단부(130)는 제2 웹페이지 소스(240)에 악성코드가 포함된 것으로 판단할 수 있다.In the drawing, since the number of links of the second webpage source 240 is increased than the first webpage source 230, the determination unit 130 may determine that the second webpage source 240 includes malicious code. have.

이 경우, 악성코드 분석 시스템(100)은 악성코드가 포함된 것으로 판단된 웹페이지 소스(250)를 관리자에게 통보할 수 있다. 이에 따라, 관리자는 상기 웹페이지 소스(250)에 포함된 악성코드에 대한 악성 링크 패턴을 추출하여, 데이터베이스(140)에 기록할 수 있다.In this case, the malware analysis system 100 may notify the management of the web page source 250 determined to be included in the malware. Accordingly, the administrator can extract the malicious link pattern for the malicious code included in the web page source 250, and record it in the database 140.

데이터베이스(140)는 악성 링크 패턴을 저장한다. 상기 악성 링크 패턴은 악성코드로 분류되는 링크 패턴에 대한 것으로, 관리자에 의해 설정될 수 있다.The database 140 stores malicious link patterns. The malicious link pattern corresponds to a link pattern classified as malicious code, and may be set by an administrator.

본 발명의 일실시예로, 판단부(130)는 상기 수집된 링크정보가 데이터베이스(140)에 사전에 저장된 악성 링크 패턴에 포함되는지 확인함으로써, 상기 웹페이지 소스에 악성코드가 포함되어 있는지 판단할 수 있다.In an embodiment of the present invention, the determination unit 130 determines whether the collected link information is included in a malicious link pattern previously stored in the database 140 to determine whether the malicious code is included in the web page source. Can be.

도 3은 본 발명의 일실시예에 따른 악성코드 분석 시스템에서 링크정보에 악성 링크 패턴이 포함되어 있는지 판단하는 일례를 도시한 도면이다.3 is a diagram illustrating an example of determining whether a malicious link pattern is included in link information in a malware analysis system according to an exemplary embodiment of the present invention.

도시한 바와 같이, 판단부(130)는 악성코드가 포함되어 있다고 판단된 제2 웹페이지 소스(310)로부터 수집된 링크정보 'http://www.hacker.cn/tools.js'가 데이터베이스(140)에 저장된 악성 링크 패턴(320)에 포함되어 있는지 판단한다. 예컨대, 악성 링크 패턴(320)은 http://?.?.cn와 같은 도메인 링크, http://100.100.?.?와 같은 IP 링크, http://a.b.c/trojan.js와 같은 링크를 포함할 수 있다.As shown in the drawing, the determination unit 130 collects the link information 'http://www.hacker.cn/tools.js' collected from the second webpage source 310 determined to include malicious code. It is determined whether it is included in the malicious link pattern 320 stored in 140. For example, the malicious link pattern 320 may include a domain link such as http: //?.? .Cn, an IP link such as http: //100.100.?.?, And a link such as http: //abc/trojan.js. It may include.

상기 판단결과, 상기 수집된 링크정보가 악성 링크 패턴(320)에 포함되는 경우, 판단부(130)는 웹페이지 소스(310)에 악성코드가 포함된 것으로 판단할 수 있다.As a result of the determination, when the collected link information is included in the malicious link pattern 320, the determination unit 130 may determine that the malicious page is included in the web page source 310.

본 발명의 일실시예로, 판단부(130)는 도 2에 도시한 데로, 상기 수집된 링 크정보에 기초하여 웹페이지 소스(310)에 악성코드가 포함되어 있는지 1차 판단한 후, 웹페이지 소스(310)에 악성코드가 포함된 것으로 판단된 경우, 상기 링크정보가 악성 링크 패턴(320)에 포함되는지 2차 판단할 수 있다.In one embodiment of the present invention, the determination unit 130 as shown in Figure 2, based on the collected link information based on the first determine whether the malicious code is included in the web page source 310, the web page When it is determined that the malicious code is included in the source 310, it may be secondly determined whether the link information is included in the malicious link pattern 320.

즉, 본 발명의 실시예에 따라, 판단부(130)는 (1)링크정보에 포함된 링크개수가 상이한 경우 웹페이지 소스(310)에 악성코드가 포함되어 있다고 판단하거나, (2)링크정보가 악성 링크 패턴에 포함되는 경우 웹페이지 소스(310)에 악성코드가 포함되어 있다고 판단하거나, (3)(1)과 (2)를 모두 만족한 웹페이지 소스(310)에 대해서만 악성코드가 포함되어 있다고 판단할 수 있다.That is, according to an embodiment of the present invention, the determination unit 130 determines that (1) when the number of links included in the link information is different, malicious code is included in the web page source 310, or (2) link information. Is included in the malicious link pattern, it is determined that the webpage source 310 contains malicious code, or the malicious code is included only for the webpage source 310 that satisfies both (3) (1) and (2). It can be judged.

악성 스트링 수집부(150)는 상기 웹페이지 소스에 악성코드가 포함된 것으로 판단한 경우, 상기 악성코드가 포함된 링크정보로부터 악성 스트링을 수집한다. 상기 악성 스트링은 데이터베이스(140)에 저장된 악성 링크 패턴과 유사한 것일 수 있다. 데이터베이스(140)는 상기 수집된 악성 스트링을 저장한다.When it is determined that the malicious code is included in the web page source, the malicious string collection unit 150 collects a malicious string from link information including the malicious code. The malicious string may be similar to the malicious link pattern stored in the database 140. Database 140 stores the collected malicious strings.

도 4는 본 발명의 일실시예에 따른 악성코드 분석 시스템에서 악성코드가 포함된 링크정보로부터 악성 스트링을 수집하는 일례를 도시한 도면이다.4 is a diagram illustrating an example of collecting a malicious string from the link information containing the malicious code in the malware analysis system according to an embodiment of the present invention.

도시한 바와 같이, 악성 스트링 수집부(150)는 포함된 제2 웹페이지 소스(410)에 포함된 링크정보(420, 'http://www.attack-1.cn/tools.js', 'http://www.attack-2.cn/tools.js')를 악성 스트링(430)으로 수집하여 데이터베이스(140)에 저장한다. 이렇게 수집된 악성 스트링은 악성 링크 패턴과 유사하게, 웹페이지 소스에 악성코드가 포함되어 있는지 여부를 판단할 때 이용할 수 있다.As shown in the drawing, the malicious string collection unit 150 may include link information 420 included in the second web page source 410, 'http://www.attack-1.cn/tools.js',' http://www.attack-2.cn/tools.js') is collected as a malicious string 430 and stored in the database 140. The collected malicious strings can be used to determine whether or not malicious code is included in the source of the web page, similar to the malicious link pattern.

즉, 악성 스트링 수집부(150)는 악성코드가 포함된 제2 웹페이지 소스(410) 에 포함된 링크정보에 연결하여, 악성파일을 다운로드할 수 있다. 악성 스트링 수집부(150)는 상기 다운로드된 악성파일 자체의 스트링(string)을 악성 스트링으로 수집할 수 있다. That is, the malicious string collector 150 may download the malicious file by connecting to the link information included in the second web page source 410 including the malicious code. The malicious string collection unit 150 may collect a string of the downloaded malicious file itself as a malicious string.

도 5는 본 발명의 일실시예에 따른 악성코드 분석 방법의 순서를 도시한 흐름도이다.5 is a flowchart illustrating a procedure of a malicious code analysis method according to an embodiment of the present invention.

상기 악성코드 분석 방법은 본 발명의 악성코드 분석 시스템(100)에 의해 구현될 수 있다. 따라서, 상술한 도 1을 참조하여 도 5를 설명함으로써, 본 발명의 이해를 도모한다.The malware analysis method may be implemented by the malware analysis system 100 of the present invention. Therefore, by explaining FIG. 5 with reference to FIG. 1 mentioned above, an understanding of this invention is aimed at.

단계 510에서, 악성코드 분석 시스템(100)은 웹서버로부터 제1 시점에 제1 웹페이지 소스를 다운로드하고, 상기 제1 시점과 상이한 제2 시점에 상기 제1 웹페이지 소스와 연관된 제2 웹페이지 소스를 다운로드한다.In step 510, the malware analysis system 100 downloads a first webpage source from a web server at a first point in time, and a second webpage associated with the first webpage source at a second point in time different from the first point in time. Download the source.

상기 제1 시점은 상기 제1 웹페이지 소스를 다운로드하는 시점이고, 상기 제2 시점은 상기 제1 시점과는 상이한 시점으로서, 상기 제1 시점 이후의 시점일 수 있다. 또한, 상기 제1 웹페이지 소스와 상기 제2 웹페이지 소스는 동일한 URL을 갖는 웹페이지 소스로서, 상기 웹서버로부터 다운로드하는 시점이 다르다는 것이 차이점이다. 다운로드부(110)는 동일한 URL을 갖는 웹페이지 소스를 주기적으로 다운로드하고, 먼저 다운로드한 웹페이지 소스를 제1 웹페이지 소스, 다음에 다운로드한 웹페이지 소스를 제2 웹페이지 소스라 할 수 있다.The first time point is a time point for downloading the first webpage source, and the second time point is different from the first time point, and may be a time point after the first time point. In addition, the first web page source and the second web page source is a web page source having the same URL, the difference is that the download time from the web server is different. The downloader 110 may periodically download a webpage source having the same URL, and may first call the first downloaded webpage source and the next downloaded webpage source as a second webpage source.

단계 520에서, 악성코드 분석 시스템(100)은 상기 다운로드한 제1 웹페이지 소스로부터 제1 링크정보를 수집하고, 상기 다운로드한 제2 웹페이지 소스로부터 제2 링크정보를 수집한다. 상기 제1, 제2 링크정보는 상기 제1, 제2 웹페이지 소스에 포함된 링크들에 대한 정보이고, 예컨대, 상기 제1, 제2 웹페이지 소스에 포함된 링크개수이다.In operation 520, the malware analysis system 100 collects first link information from the downloaded first webpage source and collects second link information from the downloaded second webpage source. The first and second link information is information about links included in the first and second web page sources, and for example, the number of links included in the first and second web page sources.

실시예로, 수집부(120)는 상기 수집된 제1 링크정보를 상기 제1 웹페이지 소스에 대응시켜 데이터베이스(140)에 저장하고, 상기 수집된 제2 링크정보를 상기 제2 웹페이지 소스에 대응시켜 데이터베이스(140)에 저장할 수 있다.In an embodiment, the collection unit 120 stores the collected first link information in the database 140 corresponding to the first web page source, and stores the collected second link information in the second web page source. Correspondingly, it can be stored in the database 140.

단계 530에서, 악성코드 분석 시스템(100)은 상기 제1 링크정보와 상기 제2 링크정보가 상이한지 판단한다. 예를 들어, 악성코드 분석 시스템(100)은 상기 제1 링크정보에 포함된 제1 링크개수와 상기 제2 링크정보에 포함된 제2 링크개수가 서로 상이한지 판단할 수 있다.In operation 530, the malicious code analysis system 100 determines whether the first link information is different from the second link information. For example, the malicious code analysis system 100 may determine whether the number of first links included in the first link information and the number of second links included in the second link information are different from each other.

본 발명의 실시예로, 상기 제1 링크정보는 제1 내부 링크정보, 제1 외부 링크정보를 포함하고, 상기 제2 링크정보는 제2 내부 링크정보, 제2 외부 링크정보를 포함할 수 있다. 이 경우, 악성코드 분석 시스템(100)은 (1)상기 제1 내부 링크정보와 상기 제2 내부 링크정보가 상이한지 여부를 판단하거나, (2)상기 제1 외부 링크정보와 상기 제2 외부 링크정보가 상이한지 여부를 판단함으로써, 단계 510 또는 단계 540을 선택적으로 수행할 수 있다.In an embodiment of the present invention, the first link information may include first internal link information and first external link information, and the second link information may include second internal link information and second external link information. . In this case, the malware analysis system 100 may determine whether (1) the first internal link information and the second internal link information are different, or (2) the first external link information and the second external link. By determining whether the information is different, step 510 or step 540 may optionally be performed.

상기 판단결과, 동일한 경우, 악성코드 분석 시스템(100)은 상기 제1, 제2 웹페이지 소스에 악성코드가 포함되어 있지 않다고 판단하고, 단계 510으로 되돌아가서, 제3 웹페이지 소스를 다운로드한다. 상기 제3 웹페이지 소스는 상기 제2 시점과 상이한 제3 시점에 다운로드되는 웹페이지 소스이다. 이후, 악성코드 분석 시스템(100)은 상기 제2 웹페이지 소스로부터 수집된 제2 링크정보와 상기 제3 웹페이지 소스로부터 수집된 제3 링크정보를 비교함으로써, 제2, 제3 웹페이지 소스에 악성코드가 포함되어 있는지 판단할 수 있다.As a result of the determination, in the same case, the malicious code analysis system 100 determines that the malicious code is not included in the first and second webpage sources, and returns to step 510 to download the third webpage source. The third webpage source is a webpage source downloaded at a third time point different from the second time point. Subsequently, the malicious code analysis system 100 compares the second link information collected from the second web page source with the third link information collected from the third web page source, thereby comparing the second link information to the second and third web page sources. You can determine if it contains malicious code.

상기 판단결과, 상이한 경우, 단계 540에서, 악성코드 분석 시스템(100)은 상기 제1 웹페이지 소스 또는 상기 제2 웹페이지 소스에 악성코드가 포함되어 있다고 판단한다.As a result of the determination, in step 540, the malicious code analysis system 100 determines that the first webpage source or the second webpage source includes malicious code.

이 경우, 실시예에 따라, 악성코드 분석 시스템(100)은 악성코드가 포함되어 있다고 판단된 제1 링크정보 또는 제2 링크정보가 데이터베이스(140)에 저장된 악성 링크 패턴에 포함되는지 여부를 2차로 판단할 수 있다. 상기 악성 링크 패턴은 링크정보와 유사하며 악성코드로 분류되는 링크 패턴에 대한 것으로, 관리자에 의해 설정될 수 있다. 악성코드 분석 시스템(100)은 상기 제1 링크정보 또는 상기 제2 링크정보가 상기 악성 링크 패턴에 포함되는 경우, 상기 제1 웹페이지 소스 또는 상기 제2 웹페이지 소스에 악성코드가 포함되어 있다고 판단할 수 있다.In this case, according to an embodiment, the malware analysis system 100 secondly determines whether the first link information or the second link information determined to include the malicious code is included in the malicious link pattern stored in the database 140. You can judge. The malicious link pattern is similar to link information and corresponds to a link pattern classified as malicious code, and may be set by an administrator. When the first link information or the second link information is included in the malicious link pattern, the malicious code analysis system 100 determines that malicious code is included in the first web page source or the second web page source. can do.

이어서, 악성코드 분석 시스템(100)은 악성코드가 포함된 것으로 판단된 링크정보로부터 악성 스트링을 수집하고, 상기 수집된 악성 스트링을 데이터베이스(140)에 저장한다. 상기 악성 스트링은 상기 악성 링크 패턴과 유사하며, 이후, 웹페이지 소스에 악성코드가 포함되어 있는지 판단할 때 이용할 수 있다.Subsequently, the malicious code analysis system 100 collects a malicious string from link information determined to include malicious code, and stores the collected malicious string in the database 140. The malicious string is similar to the malicious link pattern, and can be used later to determine whether malicious code is included in the web page source.

또한, 본 발명의 실시예들은 다양한 컴퓨터로 구현되는 동작을 수행하기 위한 프로그램 명령을 포함하는 컴퓨터 판독 가능 매체를 포함한다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조 합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.Further, embodiments of the present invention include a computer readable medium having program instructions for performing various computer implemented operations. The computer readable medium may include program instructions, data files, data structures, etc. alone or in combination. Program instructions recorded on the media may be those specially designed and constructed for the purposes of the present invention, or they may be of the kind well-known and available to those having skill in the computer software arts. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tape, optical media such as CD-ROMs, DVDs, and magnetic disks, such as floppy disks. Magneto-optical media, and hardware devices specifically configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine code generated by a compiler, but also high-level language code that can be executed by a computer using an interpreter or the like.

지금까지 본 발명에 따른 구체적인 실시예에 관하여 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서는 여러 가지 변형이 가능함은 물론이다. 그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 안되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.While specific embodiments of the present invention have been described so far, various modifications are possible without departing from the scope of the present invention. Therefore, the scope of the present invention should not be limited to the described embodiments, but should be determined by the equivalents of the claims and the claims.

도 1은 본 발명의 일실시예에 따른 악성코드 분석 시스템의 구성을 도시한 블록도이다.1 is a block diagram showing the configuration of a malicious code analysis system according to an embodiment of the present invention.

도 2는 본 발명의 일실시예에 따른 악성코드 분석 시스템에서 웹페이지 소스에 악성코드가 포함되어 있는지 판단하는 일례를 도시한 도면이다.2 is a diagram illustrating an example of determining whether a malicious code is included in a web page source in a malicious code analysis system according to an exemplary embodiment of the present invention.

도 3은 본 발명의 일실시예에 따른 악성코드 분석 시스템에서 링크정보에 악성 링크 패턴이 포함되어 있는지 판단하는 일례를 도시한 도면이다.3 is a diagram illustrating an example of determining whether a malicious link pattern is included in link information in a malware analysis system according to an exemplary embodiment of the present invention.

도 4는 본 발명의 일실시예에 따른 악성코드 분석 시스템에서 악성코드가 포함된 링크정보로부터 악성 스트링을 수집하는 일례를 도시한 도면이다.4 is a diagram illustrating an example of collecting a malicious string from the link information containing the malicious code in the malware analysis system according to an embodiment of the present invention.

도 5는 본 발명의 일실시예에 따른 악성코드 분석 방법의 순서를 도시한 흐름도이다.5 is a flowchart illustrating a procedure of a malicious code analysis method according to an embodiment of the present invention.

<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for the main parts of the drawings>

100: 악성코드 분석 시스템100: malware analysis system

110: 다운로드부110: download

120: 수집부120: collector

130: 판단부130: judgment

140: 데이터베이스140: database

150: 악성 스트링 수집부150: malicious string collector

Claims (15)

웹서버로부터 제1 시점에 제1 웹페이지 소스를 다운로드하고, 상기 제1 시점과 상이한 제2 시점에 상기 제1 웹페이지 소스와 연관된 제2 웹페이지 소스를 다운로드하는 다운로드부;A download unit for downloading a first webpage source from a web server at a first point in time and downloading a second webpage source associated with the first webpage source at a second point in time different from the first point in time; 상기 다운로드한 제1 웹페이지 소스로부터 제1 내부 링크정보와 제1 외부 링크정보를 포함하는 제1 링크정보를 수집하고, 상기 다운로드한 제2 웹페이지 소스로부터 제2 내부 링크정보와 제2 외부 링크정보를 포함하는 제2 링크정보를 수집하는 수집부; 및Collecting first link information including first internal link information and first external link information from the downloaded first web page source, and second internal link information and second external link from the downloaded second web page source A collecting unit for collecting second link information including information; And (1)상기 제1 내부 링크정보와 상기 제2 내부 링크정보가 상이한 경우, 상기 제1 웹페이지 소스 또는 상기 제2 웹페이지 소스에 악성코드가 포함된 것으로 판단하고, 또는 (2)상기 제1 외부 링크정보와 상기 제2 외부 링크정보가 상이한 경우, 상기 제1 웹페이지 소스 또는 상기 제2 웹페이지 소스에 악성코드가 포함된 것으로 판단하는 판단부(1) if the first internal link information and the second internal link information are different, determine that the first web page source or the second web page source contains malicious code, or (2) the first A determination unit that determines that the first webpage source or the second webpage source includes malicious code when the external link information and the second external link information are different. 를 포함하는 악성코드 분석 시스템.Malware analysis system comprising a. 삭제delete 삭제delete 제1항에 있어서,The method of claim 1, 상기 판단부는,The determination unit, 상기 제1 링크정보와 상기 제2 링크정보를 비교하고, 상기 비교결과, 상기 제1 링크정보와 상기 제2 링크정보가 상이한 경우, 상기 제1 웹페이지 소스 또는 상기 제2 웹페이지 소스에 악성코드가 포함된 것으로 판단하는, 악성코드 분석 시스템.Comparing the first link information and the second link information, and when the comparison result, the first link information and the second link information is different, the malicious code in the first web page source or the second web page source Determined to include, malware analysis system. 제4항에 있어서,5. The method of claim 4, 상기 판단부는,The determination unit, 상기 제1 링크정보에 포함된 제1 링크개수와 상기 제2 링크정보에 포함된 제2 링크개수를 비교하는, 악성코드 분석 시스템.And comparing the first link number included in the first link information with the second link number included in the second link information. 삭제delete 제1항에 있어서,The method of claim 1, 악성 링크 패턴을 저장하는 데이터베이스Database that stores malicious link patterns 를 더 포함하고,More, 상기 판단부는,The determination unit, 상기 제1 링크정보가 상기 저장된 악성 링크 패턴에 포함되는 경우, 상기 제1 웹페이지 소스에 악성코드가 포함된 것으로 판단하고,When the first link information is included in the stored malicious link pattern, it is determined that malicious code is included in the first web page source. 상기 제2 링크정보가 상기 저장된 악성 링크 패턴에 포함되는 경우, 상기 제2 웹페이지 소스에 악성코드가 포함된 것으로 판단하는, 악성코드 분석 시스템.And determining that the second web page source contains malicious code when the second link information is included in the stored malicious link pattern. 제1항에 있어서,The method of claim 1, 상기 판단부에 의해 악성코드가 포함된 것으로 판단된 상기 제1 웹페이지 소스 또는 상기 제2 웹페이지 소스와 연관되는 링크정보로부터 악성 스트링을 수집하는 악성 스트링 수집부; 및A malicious string collection unit for collecting a malicious string from link information associated with the first web page source or the second web page source determined to include malicious code by the determination unit; And 상기 수집된 악성 스트링을 저장하는 데이터베이스Database storing the collected malicious string 를 더 포함하는 악성코드 분석 시스템.Malware analysis system further comprising. 웹서버로부터 제1 시점에 제1 웹페이지 소스를 다운로드하는 단계;Downloading a first web page source from a web server at a first point in time; 상기 웹서버로부터 상기 제1 시점과 상이한 제2 시점에 상기 제1 웹페이지 소스와 연관된 제2 웹페이지 소스를 다운로드하는 단계;Downloading a second webpage source associated with the first webpage source at a second time point different from the first time point from the web server; 상기 다운로드한 제1 웹페이지 소스로부터 제1 내부 링크정보와 제1 외부 링크정보를 포함하는 제1 링크정보를 수집하는 단계;Collecting first link information including first internal link information and first external link information from the downloaded first web page source; 상기 다운로드한 제2 웹페이지 소스로부터 제2 내부 링크정보와 제2 외부 링크정보를 포함하는 제2 링크정보를 수집하는 단계; 및Collecting second link information including second internal link information and second external link information from the downloaded second web page source; And 상기 제1 내부 링크정보와 상기 제2 내부 링크정보가 상이하거나, 또는 상기 제1 외부 링크정보와 상기 제2 외부 링크정보가 상이한 경우, 상기 제1 웹페이지 소스 또는 상기 제2 웹페이지 소스에 악성코드가 포함된 것으로 판단하는 단계When the first internal link information and the second internal link information are different, or when the first external link information and the second external link information are different, the first web page source or the second web page source is malicious. Determining that the code is included 를 포함하는 악성코드 분석 방법.Malware analysis method comprising a. 삭제delete 삭제delete 제9항에 있어서,10. The method of claim 9, 상기 악성코드가 포함된 것으로 판단하는 단계는,Determining that the malicious code is included, 상기 제1 링크정보에 포함된 제1 링크개수와 상기 제2 링크정보에 포함된 제2 링크개수를 비교하는 단계; 및Comparing the number of first links included in the first link information with the number of second links included in the second link information; And 상기 비교결과, 상기 제1 링크개수와 상기 제2 링크개수가 서로 상이한 경우, 상기 제1 웹페이지 소스 또는 상기 제2 웹페이지 소스에 악성코드가 포함된 것으로 판단하는 단계As a result of the comparison, when the first link number and the second link number are different from each other, determining that the first web page source or the second web page source contains malicious code 를 포함하는 악성코드 분석 방법.Malware analysis method comprising a. 삭제delete 제9항에 있어서,10. The method of claim 9, 악성 링크 패턴을 데이터베이스에 저장하는 단계Steps to Store Malicious Link Patterns in Database 를 더 포함하고,More, 상기 악성코드가 포함되어 있는지 판단하는 단계는,Determining whether the malicious code is included, 상기 제1 링크정보가 상기 저장된 악성 링크 패턴에 포함되는 경우, 상기 제1 웹페이지 소스에 악성코드가 포함된 것으로 판단하는 단계; 또는Determining that the first web page source contains malicious code when the first link information is included in the stored malicious link pattern; or 상기 제2 링크정보가 상기 저장된 악성 링크 패턴에 포함되는 경우, 상기 제2 웹페이지 소스에 악성코드가 포함된 것으로 판단하는 단계Determining that the second web page source contains malicious code when the second link information is included in the stored malicious link pattern. 를 포함하는 악성코드 분석 방법.Malware analysis method comprising a. 제9항에 있어서,10. The method of claim 9, 상기 악성코드가 포함된 것으로 판단된 상기 제1 웹페이지 소스 또는 상기 제2 웹페이지 소스와 연관되는 링크정보로부터 악성 스트링을 수집하는 단계; 및Collecting a malicious string from link information associated with the first web page source or the second web page source determined to include the malicious code; And 상기 수집된 악성 스트링을 데이터베이스에 저장하는 단계Storing the collected malicious string in a database 를 더 포함하는 악성코드 분석 방법.Malware analysis method further comprising a.
KR1020090042555A 2009-05-15 2009-05-15 Malware Analysis Method and System KR101052443B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090042555A KR101052443B1 (en) 2009-05-15 2009-05-15 Malware Analysis Method and System

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090042555A KR101052443B1 (en) 2009-05-15 2009-05-15 Malware Analysis Method and System

Publications (2)

Publication Number Publication Date
KR20100123368A KR20100123368A (en) 2010-11-24
KR101052443B1 true KR101052443B1 (en) 2011-07-28

Family

ID=43408060

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090042555A KR101052443B1 (en) 2009-05-15 2009-05-15 Malware Analysis Method and System

Country Status (1)

Country Link
KR (1) KR101052443B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101431951B1 (en) 2013-01-03 2014-08-19 사단법인 금융결제원 Method and System for Detecting Phishing by using Referrer Monitoring based Dummy Link
KR101543238B1 (en) 2015-01-21 2015-08-11 한국인터넷진흥원 Apparatus, system and method for collecting and processing a web traffic to detect a malicious script in real-time
WO2024106860A1 (en) * 2022-11-18 2024-05-23 주식회사 포테이토넷 Link characteristic analysis-based abnormal web content detection method and system

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101327865B1 (en) * 2011-12-29 2013-11-12 주식회사 시큐아이 Homepage infected with a malware detecting device and method
KR101526500B1 (en) * 2013-12-20 2015-06-09 고려대학교 산학협력단 Suspected malignant website detecting method and system using information entropy
KR101577404B1 (en) * 2015-08-13 2015-12-28 인스소프트 주식회사 System and method for blocking access malware by using monitoring java-script object and computer program for executing the method

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070049514A (en) * 2005-11-08 2007-05-11 한국정보보호진흥원 Malignant code monitor system and monitoring method using thereof

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070049514A (en) * 2005-11-08 2007-05-11 한국정보보호진흥원 Malignant code monitor system and monitoring method using thereof

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101431951B1 (en) 2013-01-03 2014-08-19 사단법인 금융결제원 Method and System for Detecting Phishing by using Referrer Monitoring based Dummy Link
KR101543238B1 (en) 2015-01-21 2015-08-11 한국인터넷진흥원 Apparatus, system and method for collecting and processing a web traffic to detect a malicious script in real-time
WO2024106860A1 (en) * 2022-11-18 2024-05-23 주식회사 포테이토넷 Link characteristic analysis-based abnormal web content detection method and system

Also Published As

Publication number Publication date
KR20100123368A (en) 2010-11-24

Similar Documents

Publication Publication Date Title
US8635691B2 (en) Sensitive data scanner
US8713680B2 (en) Method and apparatus for modeling computer program behaviour for behavioural detection of malicious program
CN104123493B (en) The safety detecting method and device of application program
JP6609047B2 (en) Method and device for application information risk management
KR100723867B1 (en) Apparatus and method for blocking access to phishing web page
KR101052443B1 (en) Malware Analysis Method and System
CN109361711B (en) Firewall configuration method and device, electronic equipment and computer readable medium
CN108632219B (en) Website vulnerability detection method, detection server, system and storage medium
CN102663052B (en) Method and device for providing search results of search engine
KR101190261B1 (en) Hybrid interaction client honeypot system and its operation method
CN105653949B (en) A kind of malware detection methods and device
KR102120200B1 (en) Malware Crawling Method and System
CN110535806A (en) Monitor method, apparatus, equipment and the computer storage medium of abnormal website
CN104640105A (en) Method and system for mobile phone virus analyzing and threat associating
US11580220B2 (en) Methods and apparatus for unknown sample classification using agglomerative clustering
JP5478390B2 (en) Log extraction system and program
CN107103243B (en) Vulnerability detection method and device
CN111191240B (en) Method, device and equipment for collecting Internet electronic evidence
US11528291B2 (en) Methods and apparatus for defending against exploitation of vulnerable software
Alnaeli et al. Vulnerable C/C++ code usage in IoT software systems
KR101410255B1 (en) System, device, method and computer readable recording medium for determining potential risk of application files
El-Rewini et al. Dissecting residual APIs in custom android ROMs
KR20150059882A (en) System and method for analyzing malicious application of smart-phone and service system and service method for blocking malicious application of smart-phone
KR100937020B1 (en) Integration security system and method by tracking web-database attack detection log data
KR20110129020A (en) Malicious code prevention system using code analysis technique and method for operating the system

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140630

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160425

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20170628

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20180723

Year of fee payment: 8